Сбор слива: банки обвинили источник новостей об утечках в предвзятости

Сбор слива: банки обвинили источник новостей об утечках в предвзятости

В 2019 году СМИ сообщали о выставленных на продажу в DarkNet баз данных клиентов Сбербанка объемом 60 млн записей, ОТП-банка (800 тыс. записей), санируемого «Открытием» Бинбанка (70 тыс.), Альфа-банка (55 тыс.), банка «Хоум Кредит» (24,5 тыс.), Тинькофф-банка (16,5 тыс.) и Райффайзенбанка (3 тыс.).

В своих публикациях медиа ссылались на провайдера услуг кибербезопасности — компанию DeviceLock, обнаружившую в Сети соответствующие объявления от анонимных продавцов. «Известия» попросили фигурантов историй об утечках прокомментировать это наблюдение.

В Сбербанке на вопрос не ответили. Однако, как узнали «Известия», в июне 2018 года DeviceLock обращалась в организацию с предложением своих услуг. Сбербанк оферту отклонил. Об этом говорится в письме старшего вице-президента кредитной организации Никиты Волкова гендиректору DeviceLock Олесе Ярмоленко «Упоминание вами (представителем DeviceLock. — «Известия») неоднократных утечек данных не является обоснованным, так как не соответствует действительности», — подчеркивал в своем ответе топ-менеджер Сбербанка.

В Альфа-банке заявили, что получали от DeviceLock предложение о закупке системы предотвращения утраты данных. Запрос от IT-организации сопровождался оповещением об обнаружении записей, якобы принадлежащих клиентам банка, уточнили в его пресс-службе. Предложение DeiviceLock не было принято, а через определенное время последовала публикация в прессе об этой утечке.

На вопрос о достоверности публикаций СМИ об утечках в большинстве упомянутых банков (кроме «Хоум Кредит», где не отреагировали на запрос) сообщили, что эта информация в результате проверок не подтвердилась. Сбербанк в итоге заявил о компрометации 5 тыс. записей, а не 60 млн, как утверждалось в сообщении DeviceLock.

— Оценивая размер утечки, мы ориентируемся на данные, которые у нас есть, и никогда не заявляем о размере базы безапелляционно, — заявил основатель организации Ашот Оганесян. Если это предложение в DarkNet, то компания ориентируется на слова продавца и всегда это подчеркивает, уточнил он.

Впрочем, он добавил, что в банковском секторе, как показывает практика, масштаб утечек почти всегда больше, чем заявляют банки, так как после соответствующих сообщений ими зачастую не предпринимаются никакие действия, кроме опровержений.

— Заявления о связи публикации нами информации об утечках и якобы отказе от сотрудничества с нами — конечно же, ложь, не имеющая под собой никаких доказательств. Нам бы хотелось, чтобы авторы [таких обвинений] открыли свое лицо, но пока они почему-то прячутся за анонимностью, — заявил Ашот Оганесян. — Появление новых утечек связано не с нашими усилиями, а с банальной некомпетентностью конкретных сотрудников банков, отвечающих за информационную безопасность.

Ашот Оганесян уточнил, в России услугами его компании пользуются, например, ВТБ и банк «Дом.РФ», а за границей — BNP Paribas и ряд японских организаций. Сообщения об утечках данных от российских клиентов DeviceLock в публичном пространстве обнаружить не удалось.

Не подкопаться
Репутации банков от публикаций сведений об утечках наносится существенный урон, однако правовых оснований для претензий к DeviceLock у них практически нет, уверены юристы.Если компания не информирует об утечках в утвердительной форме, ограничиваясь лишь сообщениями о продаже в DarkNet баз данных определенного массива, то она не делает ничего противозаконного, пояснил партнер юридической фирмы «Дювернуа Лигал» Александр Арбузов. А ответственность за неверную интерпретацию СМИ сообщений от DeviceLock, когда анонсированный анонимными продавцами объем утечки выдается за реальный, лежит на конкретных изданиях, добавил он.

В случае если DeviceLock распространила заведомо недостоверную информацию об утечке данных о 60 млн кредитных карт банка, к компании могут быть предъявлены требования, основанные на нарушении ею так называемого закона о фейковых новостях, добавил руководитель практики «Интеллектуальная собственность и информационные технологии» юрфирмы Borenius Алексей Грибанов. Делать выводы о выставленной на продажу информации по небольшой выборке, оказавшейся в открытом доступе, некорректно: база данных зачастую значительно меньше, чем заявлено в ее описании, заявил ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.

Крупнейшие игроки рынка ранее проводили исследования, аналогично анализу DeviceLock, но они были приостановлены, поскольку не все эксперты соглашались с этими выводами, рассказал Александр Ковалёв, замгендиректора Zecurion (также специализируется на кибербезопасности). Такую деятельность вполне можно назвать пиаром, добавил он.

Вне зависимости от того, достоверны ли сведения, заявленные продавцами утраченных баз, утечки из банков — это факт, признавал в интервью замдиректора департамента информационной безопасности ЦБ Артем Сычёв. Впрочем, по его мнению, по сравнению с общим объемом утрат бизнесом информации о своих клиентах потери финансовых организаций — это «капля в море».

На просьбу оценить медиаполитику DeviceLock в отношении банков в ЦБ, Роскомнадзоре и Роспотребнадзоре не ответили. Замглавы Минкомсвязи Алексей Волин передал «Известиям» через пресс-службу, что объявления о продаже в DarkNet баз данных, просочившиеся в СМИ, существенно влияют на репутацию кредитных организаций. Однако законодательством не запрещено сообщать в прессу о том, что кем-то были опубликованы такие предложения. А «если кому-то что-то не нравится, то можно пойти в суд», заявил Алексей Волин.

Иллюстрация к статье: Яндекс.Картинки

Читайте также

Оставить комментарий

Вы можете использовать HTML тэги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>